<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>On Sep 11, 2012, at 8:34 AM, "Turnbough, Bradley E." <<a href="mailto:bturnbough@...391...5650...">bturnbough@...15650...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span style="font-family: Calibri, sans-serif; font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; display: inline !important; float: none; ">Is it better to run one Snort process and monitor everything, or should I run XX processes (where XX is the number of cores) and have each process analyze different bits of traffic?</span></blockquote></div><br><div>I think the answer is "Can one Snort process handle all the traffic I'm throwing at it?"</div><div><br></div><div>If not, then yes, PF_RING is your answer as far as that is concerned.</div><div><div>--</div><div>Joel Esler</div><div>Senior Research Engineer, VRT</div><div>OpenSource Community Manager</div><div>Sourcefire</div></div></body></html>